news

深信服,让it更简单、更安全、更有价值

/ 2019-08-31


2019年7月,互联网网络安全状况整体指标平稳,从各类监测数据显示,无论是恶意程序攻击、网络安全攻击还是高危漏洞数量,各项指标相对6月均有不同程度的下降。

另一方面,从深信服安全云脑捕获的攻击事件来看,7月几个大的安全事件均由邮件钓鱼攻击导致,多个行业和单位受到损害。鱼叉式网络钓鱼是盗取用户凭证和各种敏感信息的惯用伎俩,当前看来该类方法依然奏效。深信服安全团队提醒大家不要点击来历不明的邮件,注意加强安全防护意识。

7月,深信服安全云脑累计发现:

  • 恶意攻击17.68亿次,平均每天拦截恶意程序5863万次。

  • 活跃恶意程序28912个,其中感染型病毒4963个,占比17.17%;木马远控病毒13977个,占比48.34%。挖矿病毒种类472个,拦截次数10.52亿次,较6月上升0.6%,其中wannamine病毒家族最为活跃。

深信服漏洞监测平台对国内已授权的6549个站点进行漏洞监控,发现:

  • 高危站点3976个,高危漏洞135820个,漏洞类别主要是csrf跨站请求伪造,信息泄露和xss注入,共占比86%。

  • 监控在线业务8260个,共识别潜在篡改的网站有96个,篡改总发现率高达1.16%。


恶意程序活跃详情


2019年7月,病毒攻击的态势呈现下降态势,病毒拦截量比6月份下降约7.7%,近半年拦截恶意程序数量趋势如下图所示:

2019年7月,深信服安全云脑检测到的活跃恶意程序样本有28912个,其中木马远控病毒13977个,占比48.34%,蠕虫病毒7079个,占比24.48%,感染型病毒4963个,占比17.17%,勒索病毒511个,占比1.77%,挖矿病毒472个,占比1.63%。

7月总计拦截恶意程序17.68亿次,其中挖矿病毒的拦截量占比59.48%,其次是木马远控病毒(14.80%)、蠕虫病毒(10.95%)、感染型病毒(7.61%)、后门软件(6.59%)、勒索病毒(0.39%)。

1. 勒索病毒活跃状况


2019年7月,共拦截勒索病毒数量683万次。其中,wannacryrazycryptgandcrab依然是最活跃的勒索病毒家族,其中wannacry家族7月拦截数量有583万次,危害依然较大。

从勒索病毒倾向的行业来看,企业感染病毒数量占总体的31%,是黑客最主要的攻击对象,具体活跃病毒行业分布如下图所示:

从勒索病毒受灾地域上看,广东地区受感染情况最为严重,其次是四川省和陕西省。

2. 挖矿病毒活跃状况


2019年7月,深信服安全云脑共拦截挖矿病毒10.52亿次,其中最为活跃的挖矿病毒是wannamineminepoolxmrig,特别是wannamine家族,共拦截4.71亿次。同时监测数据显示,被挖矿病毒感染的地域主要有广东省、北京市、浙江省等地,其中广东省感染量第一。

被挖矿病毒感染的行业分布如下图所示,其中企业受挖矿病毒感染情况最为严重。

3. 感染型病毒活跃状况


2019年7月,深信服安全云脑检测并捕获感染型病毒样本4963个,共拦截1.17亿次。其中virut家族是成为7月攻击态势最为活跃的感染型病毒家族,共被拦截7143万次,此家族占了所有感染型病毒拦截数量的61.27%;而排名第二第三的是sality和wapomi家族,7月拦截比例分别是为23.86%和4.98%。7月感染型病毒活跃家族top榜如下图所示:

在感染型病毒危害地域分布上,广东省病毒拦截量位列第一,占top10总量的39%,其次为浙江省和江苏省。

从感染型病毒攻击的行业分布来看,黑客更倾向于使用感染型病毒攻击企业、教育等行业。企业教育的拦截数量占感染型病毒拦截总量的76%,具体感染行业分布如下图所示:

4. 木马远控病毒活跃状况


深信服安全云脑在7月检测到木马远控病毒样本13977个,共拦截2.62亿次。其中最活跃的木马远控家族是drivelife,拦截数量达6092万次,其次是siscos、injector。具体分布数据如下图所示:

对木马远控病毒区域拦截量进行分析统计发现,恶意程序拦截量最多的地区为广东省,占top10拦截量的26%;其次为北京市(14%)、广西壮族自治区(11%)、浙江省(11%)和山东省(7%)。此外湖南省、四川省、江苏省、上海市、福建省的木马远控拦截量也排在前列。

行业分布上,企业教育行业是木马远控病毒的主要攻击对象。

5. 蠕虫病毒活跃状况


2019年7月深信服安全云脑检测到蠕虫病毒样本7079个,共拦截1.94亿次,但通过数据统计分析来看,大多数攻击都是来自于ramnit、gamarue、jenxcus、dorkbot、faedevour、morto、small家族,这些家族占据了7月全部蠕虫病毒攻击的96%,其中攻击态势最活跃的蠕虫病毒是ramnit,占蠕虫病毒top10总量的49%。

从感染地域上看,广东省地区用户受蠕虫病毒感染程度最为严重,其拦截量占top10总量的28%;其次为湖南省(12%)、浙江省(10%)。

从感染行业上看,企业教育等行业受蠕虫感染程度较为严重。

网络安全攻击趋势分析


深信服全网安全态势感知平台监测到全国36584个ip在7月所受网络攻击总量约为4.3亿次。7月攻击态势较上月有明显下降。下图为近半年深信服网络安全攻击趋势监测情况:

1. 安全攻击趋势


下面从攻击类型分布和重点漏洞攻击分析2个维度展示7月现网的攻击趋势:

(1)攻击类型分布

通过对云脑日志数据分析可以看到,7月捕获攻击以webserver漏洞利用、系统漏洞利用、信息泄漏、web扫描、数据库漏洞利用等分类为主。其中webserver漏洞利用类型的占比高达41.73%,攻击次数达1.7亿多次;系统漏洞利用类型均占比21.84%。

主要攻击种类和比例如下:

(2)重点漏洞攻击分析

通过对深信服安全云脑日志数据分析,针对漏洞的攻击情况筛选出7月攻击利用次数最高的漏洞top20。

其中漏洞被利用次数前三的漏洞分别是apache http server mod_log_config 远程拒绝服务漏洞(保持不变)、nginx uri processing安全绕过漏洞apache web server etag header 信息泄露漏洞,命中次数分别为58527778、44965615和36628816。


2. 高危漏洞攻击趋势跟踪


深信服安全团队对重要软件漏洞进行深入跟踪分析,近年来java中间件远程代码执行漏洞频发,同时受永恒之蓝影响使得windows smb、struts2和weblogic漏洞成为黑客最受欢迎的漏洞攻击方式。

2019年7月,windows smb日志量仍达千万级,但结束了近几月持续上升的攻击趋势,其中依旧是拦截到的(ms17-010)microsoft windows smb server 远程代码执行漏洞攻击利用日志最多;struts2系列漏洞近几月攻击次数在一千万至两千万之间波动,趋势较为平缓;weblogic系列漏洞的攻击总体呈波动状态,本月有小幅上升;phpcms系列漏洞攻击次数近几月持续下降。

windows smb 系列漏洞攻击趋势跟踪情况:

struts2系列漏洞攻击趋势跟踪情况:

weblogic系列漏洞攻击趋势跟踪情况:

phpcms系列漏洞攻击趋势跟踪情况:

网络安全漏洞分析


1. 全国网站漏洞类型统计


深信服网站安全监测平台7月对国内已授权的6549个站点进行漏洞监控,发现高危站点3976个,高危漏洞135820个,漏洞类别主要是csrf跨站请求伪造信息泄露xss注入,总占比86.50%,详细高危漏洞类型分布如下:

具体比例如下:

2. 篡改情况统计


7月总监控在线业务8260个(去重),共识别潜在篡改的网站有96个(去重),篡改总发现率为1.16%。

其中凯发注册网站首页篡改19个,二级页面篡改38个,多级页面篡改39个。

具体分布图如下图所示:

近期流行攻击事件及安全漏洞盘点


1. 流行攻击事件


(1)globelmposter勒索病毒最新变种预警:从“十二生肖”到“十二主神”,为何国内医疗行业最受伤?

近日,深信服安全团队观察到globelmposter勒索病毒又出现最新变种,加密后缀有ares666、zeus666、aphrodite666、apollon666等,目前国内已有多家大型医院率先发现感染案例!

具体详见:

(2)感染数万设备!警惕zombieboy挖矿木马“丧尸式”传播

近日,深信服安全团队监测到一款名为zombieboy的木马悄然感染了国内外各个行业的用户主机。该木马包含了内网扫描、“永恒之蓝”漏洞利用、“双脉冲星”后门、挖矿工具等多个恶意模块,是一款集传播、远控、挖矿功能为一体的混合型木马。该木马的结构类似于“massmine”,由于释放第一个恶意dll文件时使用了一个名为zombieboy的工具,因此被命名为zombieboy挖矿木马。

具体详见:

(3)狼狈为奸!trickbot银行木马下发ryuk勒索病毒,大型企业损失惨重

近日,深信服安全团队捕获到一起利用trickbot下发ryuk勒索病毒的攻击事件。ryuk勒索病毒最早于2018年8月被安全研究人员披露,名称来源于死亡笔记中的死神。该勒索病毒运营团伙最早通过远程桌面服务等方式针对大型企业进行攻击。

具体详见:

(4)golang蠕虫泛滥?让我们揪出其始作俑者

近日,国外安全网站securityweek披露,一款go语言恶意软件正大量感染linux服务器,其使用了多达6种传播感染方式,包含4个远程执行漏洞(thinkphp、thinkphp2、dural、confluence),2个弱密码爆破攻击(ssh、redis)。深信服安全团队对该蠕虫进行了追踪。

具体详见:

(5)进口勒索“美杜莎” (medusa ransom)作祟,盯上国内政企用户

近日,深信服安全团队接到国内首例medusa勒索病毒入侵企业用户事件,用户发现web服务器业务中断,立刻重启服务器后使用深信服edr查杀隔离病毒,结束加密进程,及时止损。经分析,该勒索病毒名为medusa ransom,最早于2018年在国外活动,加密后会修改桌面背景为古希腊神话中蛇发女妖“美杜莎”的图片。

具体详见:

(6)gozi银行木马再现,针对高新制造业、进出口企业的“鱼叉式攻击”

近日,深信服安全团队监测到针对进出口贸易企业、国内大型高新制造业的鱼叉式网络钓鱼攻击活动再次开始活跃。攻击者通过伪造政府部门邮件、企业内部邮件等方式向目标机构特定部门(如:采购部门、财务部门等)发起攻击,企图在目标主机分发银行木马,窃取机密信息。

具体详见:

(7)invoice钓鱼邮件姿势多,进出口企业机密信息易泄漏

近日,深信服安全团队接到某大型进出口企业反馈,根据安全感知平台提示,内网部分邮箱遭受到恶意邮件的攻击。经安全研究人员分析发现,该恶意邮件包含一个疑似lokibot恶意软件的附件,主要是用于窃取用户各类账号密码等机密信息。通过过程中的一些数据分析确定这是一起针对特定行业的定向攻击事件。

具体详见:

2. 安全漏洞事件


(1)【漏洞预警】apache axis远程命令执行漏洞

近日,深信服发现apache axis组件远程命令执行漏洞利用方式。该漏洞本质是由于管理员对adminservice配置错误,当enableremoteadmin属性设置为true时,攻击者可以远程利用adminservice接口自行发布构造的webservice,再次访问生成的webservice接口时,就可以触发内部引用的类进行远程命令执行漏洞的利用。

具体详见:

(2)【漏洞预警】mailenable漏洞(cve-2019-12923~cve-2019-12927)

近日,深信服安全团队发现邮件服务器mailenable爆出了一组漏洞,第一时间进行跟踪以及分析预警。经研究发现,利用该组漏洞,攻击者可以实现用户数据增删改查、文件读取以及部分越权操作。

具体详见:

(3)【漏洞预警】微软七月补丁更新重要漏洞

2019年07月09日,microsoft在7月份安全更新公告中修复77个漏洞,其中15个为高危漏洞,2个漏洞已知在野外被利用。

具体详见:

(4)【漏洞预警】redis未授权访问高危漏洞

近日,深信服安全团队发现开源数据库redis爆出了一个未授权访问漏洞,第一时间进行跟踪以及分析预警。经研究发现,利用该漏洞,攻击者可以实现反弹shell进行任意代码执行。

具体详见:

(5)【漏洞预警】microsoft windows dhcp服务器远程代码执行漏洞(cve-2019-0785)

2019年07月09日,microsoft在7月份安全更新公告中披露了一则dhcp服务器远程代码执行漏洞。通过此漏洞,攻击者发送特制数据包到设置为故障转移模式的dhcp服务器,可以实现远程代码执行或使dhcp服务器拒绝响应。

具体详见:

(6)【漏洞预警】discuz! ml 任意代码执行漏洞

2019年7月11日,网络上出现了一个discuz!ml远程代码执行漏洞的poc,经过深信服安全研究员验证分析发现,攻击者能够利用该漏洞在请求流量的cookie字段中(language参数)插入任意代码,执行任意代码,从而实现完全远程接管整个服务器的目的,该漏洞利用方式简单,危害性较大。

具体详见:

(7)【漏洞预警】fastjson远程代码执行漏洞

近日,fastjson远程代码执行漏洞的利用方式公开。此漏洞由于fastjson autotype在处理json对象时,对于@type的字段未能有效的进行安全验证,攻击者可以插入危险类,利用rmi接口调用远端服务器上的恶意文件执行命令。

具体详见:

(8)【漏洞预警】atlassian jira远程命令执行漏洞

近日,atlassian jira远程命令执行漏洞的利用方式公开。此漏洞由于atlassian jira中的atlassian jira server和jira data center模块存在模板注入,在表单插入java恶意代码,当服务端对传入数据进行解析时,会执行数据中插入的代码,并执行其中的命令,实现远程命令执行漏洞的利用。

具体详见:

(9)【漏洞预警】atlassian crowd远程命令执行

近日,adobe coldfusion官方修复了coldfusion软件中存在的一个远程代码执行漏洞,漏洞编号:cve-2019-7839,该漏洞评分10分,漏洞等级严重,该漏洞影响范围较广,危害性较大,攻击者可以通过jnbridge技术不受限制地访问远程java运行时环境,从而允许执行任意代码和系统命令。

具体详见:

(10)drupal访问绕过漏洞预警

在2019年7月17日,drupal官方发布了sa-core-2019-008安全公告,此次安全公告中drupal官方修复了一个drupal访问绕过漏洞(cve-2019-6342),漏洞官方定级为严重。在drupal 8.7.4中,当启用实验性工作空间模块时,会创建一个访问旁路条件,造成访问绕过漏洞。用户可以通过禁用workspaces模块来进行缓解。该漏洞只影响drupal 8.7.4版本,其他任何版本均不受影响。

具体详见:

(11) sodinokibi勒索病毒利用flash漏洞强势来袭

自gandcrab宣布停止运营以来,勒索病毒攻击事件并没有随着gandcrab的退出而减少,全球各地每天仍有用户因为数据遭到加密而损失惨重。在后来居上的各个勒索病毒家族中,sodinokibi勒索已经成为了现在全球最流行的勒索病毒之一,也被称为gandcrab的“接班人”。

具体详见:

(12)【漏洞预警】fasterxml jackson-databind远程代码执行漏洞

近日,fasterxml jackson-databind远程代码执行漏洞的利用方式公开。此漏洞利用fasterxml jackson-databind的logback-core类建立jdbc连接,加载插入恶意代码的sql文件,获取服务器权限,实现远程代码执行漏洞的利用。

具体详见:

  • / 2020-02-15
  • / 2020-02-14
  • / 2020-02-15

©2000-2020    深信服科技股份有限公司    凯发注册网站的版权所有   

"));
网站地图